Monitorización y
Filtrado
LSI - 2016/2017
José Manuel Vázquez Naya
[email protected]
Contenido
Monitorización
Herramientas y utilidades
Filtrado
Conceptos generales
Firewalls
Tipología
Arquitecturas
IpTables
MONITORIZACIÓN
Monitorización
Análisis de logs y/o ejecución de benchmarks para la identificación
de problemas y sus causas
Parámetros que conviene monitorizar:
Utilización de memoria
Accesos a disco
Uso de CPU
Actividad de red
Herramientas de monitorización
Hardware
dmesg (diagnostic message, mensajes de diagnóstico): es un comando
presente en los sistemas operativos Unix que lista el buffer de mensajes
del núcleo.
Mensajes generados durante el arranque del sistema y durante la
depuración de aplicaciones
La salida de dmesg se guarda en /var/log/dmesg
lsmod: muestra qué módulos arrancables por el Kernel están cargados
actualmente (contenido del archivo /proc/modules)
lspci: muestra información sobre los buses PCI en el sistema y los
dispositivos conectados a ellos.
lsusb: similar, para buses USB y dispositivos
Herramientas de monitorización
Dependencias
ldd (List Dynamic Dependencies): muestra las bibliotecas compartidas
que necesita cada programa o biblioteca compartida especificada en la
línea de comandos
$ ldd /usr/sbin/sshd
linux-vdso.so.1 => (0x00007fffd67ff000)
libwrap.so.0 => /lib/libwrap.so.0 (0x00007faeb81a4000)
libpam.so.0 => /lib/libpam.so.0 (0x00007faeb7f98000)
libselinux.so.1 => /lib/libselinux.so.1 (0x00007faeb7d79000)
...
ldconfig: se usa para crear, actualizar y borrar enlaces simbólicos para
librerías compartidas, en el archivo /etc/ld.so.conf
Herramientas de monitorización
Procesos, archivos abiertos, etc.
quota
ulimit
…
Sistema de ficheros
fsck
mkfs
mount
Herramientas de monitorización
Monitorización de inicios de sesión: paquete acct
apt-get install acct
Utilidades
sa:
ac:
Resumen de la base de datos de accounting de procesos
Estadísticas acerca del tiempo de conexión de los usuarios
lastcomm: Información acerca de los últimos comandos ejecutados
who:
Lista los usuarios que tienen iniciada una sesión
last:
Fechas de login y logout
lastb:
Fechas de intentos erróneos de login
uptime:
Tiempo que lleva encendido el sistema
Herramientas de monitorización
Monitorización de uso de disco
du
df
Muestra la cantidad de disco usado
Muestra la cantidad de disco libre
free
Utilización de dispositivos físicos y swapping
Monitorización de procesos
ps
top
Lista procesos
Muestra información en tiempo real de los procesos del sistema
atop, htop Similares a top
Herramientas de monitorización
atop
Herramientas de monitorización
Monitorización de red
iftop
Muestra conexiones de red
iptraf
Proporciona estadísticas de red
vnstat
Monitoriza tráfico de red y almacena log
Herramientas de monitorización
iftop
Monitorización
Paquete sysstat (System Statistics)
Contiene múltiples herramientas de monitorización
apt-get install sysstat
Habilitar en /etc/default/sysstat
mpstat
Linux 2.6.32-5-686 (debian)
05/11/12
_i686_
(1 CPU)
11:20:43 CPU %usr
11:20:43 all
%idle
0,03 0,06 13,17 0,18 0,00 0,00 0,00 0,00 86,55
%sys %iowait
%guest
%nice
%irq
%soft
%steal
iostat
avg-cpu: %user
%idle
0,03 0,06 13,17 0,18 0,00 86,56
%nice %system %iowait
%steal
Device: tps
sda
sdb
Blk_read/s Blk_wrtn/s Blk_read
Blk_wrtn
0,53 10,54 6,78 708350 455760
0,00 0,02 0,00 1122 0
pidstat
Linux 2.6.32-5-686 (debian)
05/11/12
_i686_
(1 CPU)
11:31:59 PID %usr %system
11:31:59 1 0,00 0,00 0,00 0,00 0 init
%CPU CPU
%guest
Command
Monitorización
Paquete sysstat (System Statistics)
sar (System Activity Reporter)
Muestra información completa (todas las opciones)
Estadísticas Entrada/Salida
Estadísticas paginación
Número de procesos / seg
Estadísticas Entrada/Salida para cada dispositivo de bloques
Estadísticas gestión de energía
Estadísticas de red
Uso de memoria
Estadísticas de uso de swapping
Uso de CPU
-A
-b
-B
-c
-d
-m
-n
-r
-S
-u
…
Monitorización
Paquete sysstat (System Statistics)
sar (System Activity Reporter)
root@debian:/var/log# sar -u 2 1
Linux 2.6.32-5-686 (debian)
05/11/12
_i686_
(1 CPU)
11:43:15 CPU %user
11:43:17 all
Media: all
%idle
0,50 0,00 0,50 0,00 0,00 99,00
0,50 0,00 0,50 0,00 0,00 99,00
%system
%nice
%iowait
%steal
root@debian:/var/log# sar -r 1 1
Linux 2.6.32-5-686 (debian)
05/11/12
_i686_
(1 CPU)
11:46:15 kbmemfree kbmemused
%commit
11:46:16 374096 660376 63,84 87484 425256 364604 24,12
Media: 374096 660376 63,84 87484 425256 364604 24,12
%memused kbbuffers
kbcached
kbcommit
root@debian:/var/log# sar -m 1 1
Linux 2.6.32-5-686 (debian)
05/11/12
_i686_
(1 CPU)
11:46:46 CPU MHz
2671,70
11:46:47 all
Media: all
2671,70
Monitorización
Paquete sysstat (System Statistics)
isag (Interactive System Activity Grapher)
/var/log/sysstat/sa[n]
Monitorización
Chequeos de integridad
sxid
Chequea que no se produzcan cambios en los atributos suid, sgid
/etc/sxid.conf
TripWire
Chequea que no se produzcan cambios en los archivos del sistema
Cambios de propietario, tamaño, permisos, contenido, etc.
/etc/tripwire/twpol.txt
Configuración y estado actual archivos se cifran con un par de claves
Site key
Local key
ViperDB
Monitorización
… herramientas vistas hasta el momento están pensadas para una
máquina local
¿Qué pasa en entornos mayores?
Uso de herramientas centralizadas de monitorización
nagios, ntop, Zabbix, …
Comparación de sistemas de monitorización de redes
Monitorización
En resumen…
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
Información
FILTRADO
Introducción
Seguridad perimetral
Arquitectura y elementos de
red que proporcionan
seguridad a una red interna
frente a una red externa
(generalmente Internet)
Los firewalls son el principal
“vigilante” de la entrada a un
equipo a través de la red
Introducción
Firewalls
Un firewall (cortafuegos) es cualquier mecanismo, ya sea software o
hardware, que filtra el tráfico entre redes
Separan zonas de confianza (trusted zones) de zonas potencialmente
hostiles (untrusted zones)
Analizan, registran y pueden bloquear el tráfico
Deniegan intentos de conexión no autorizados (en ambos sentidos)
Se utilizan principalmente para prevenir ataques desde el exterior
hacia equipos de una red interna
También utilizados para controlar el uso de la red por parte de los
equipos internos
Pueden actuar en distintas capas del modelo TCP/IP
Introducción
Firewalls
Escenario básico en el que un firewall controla el acceso de los
clientes en una red externa (no fiable) a servidores en una red
interna (fiable)
El tráfico es autorizado o denegado dependiendo de la política de
seguridad implementada en el firewall
Cada dominio de confianza puede incluir una o varias redes
Introducción
Firewalls
Idealmente, un firewall debe tener las siguientes características:
Todo tráfico de “dentro a fuera” (saliente) y de “fuera a dentro”
(entrante) debe pasar a través del firewall
Sólo aquel tráfico autorizado, según la política de seguridad (reglas),
puede continuar su camino
El firewall debe ser completamente inatacable
Ningún firewall cumple estos requisitos al 100%, pero todos tratan
de acercarse a ellos
Introducción
Firewalls
Ventajas
Primera línea de defensa frente a ataques
Mantienen a usuarios no autorizados fuera de la red protegida
Prohíben el uso de servicios potencialmente vulnerables (e.g. telnet,
SMTP, etc.)
Permiten la salida desde el interior
Punto único para implantar una política de seguridad
Punto único para realizar análisis y monitorización del tráfico
Registro de accesos, intentos de intrusión, gestión de alarmas de
seguridad, auditorías, etc.
Introducción
Firewalls
Limitaciones
No protegen contra ataques que no pasen por el firewall
Desde red interna a red interna
Ej.: Amenazas internas: usuarios negligentes o malintencionados, wifi
mal protegida, virus en memorias USB, etc.
Desde red externa a red interna sin pasar por el firewall
Ej.: Conexiones wifi, móviles, módems, etc.
Introducción
Firewalls
El uso de un firewall debe ser siempre parte de una política de
seguridad global
¡De nada sirve tener una puerta blindada
si dejo las ventanas abiertas!
TIPOS DE FIREWALLS
Tipos de firewalls
Filtrado de paquetes (packet filtering)
Filtrado estático o sin estado (stateless)
Filtrado dinámico o con estado (stateful)
Filtrado a nivel de aplicación
Tipos de firewalls
Filtrado de paquetes
Router de filtrado de paquetes
Aplica un conjunto de reglas a cada paquete IP y retransmite o descarta
dicho paquete
Normalmente, se configura para filtrar paquetes que van en ambas
direcciones (desde y hacia red interna)
Tipos de firewalls
Filtrado de paquetes (packet filtering)
Filtrado estático o sin estado (stateless)
Filtrado dinámico o con estado (stateful)
Filtrado a nivel de aplicación
Tipos de firewalls
Filtrado estático de paquetes (stateless)
Generalmente operan en las capas
3 (red) y 4 (transporte)
Las reglas de filtrado se basan en
información contenida en el
paquete de red
Direcciones IP de origen y destino
(ej.: 192.168.1.1)
Números de puerto de or
Comentarios de: Monitorización y Filtrado (0)
No hay comentarios